対話型ログオン: workstation のロック解除にドメイン コントローラーの認証を必要とする
[対話型ログオン: workstation のロック解除にドメイン コントローラーの認証を必要とする] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
ロックされたデバイスのロックを解除するには、ログオン情報が必要です。ドメイン アカウントでは、[対話型ログオン: workstation のロック解除にドメイン コントローラーの認証を必要とする] ポリシー設定は、デバイスのロックを解除するために、ドメイン コント ローラーに接続する必要があるかどうかを決定します。このポリシー設定を有効にするには、デバイスのロック解除に使用されるドメイン アカウントをドメイン コントローラーが認証する必要があります。このポリシー設定を無効にすると、コンピューターがドメイン コントローラーに対してログオン情報を確認せずに、ユーザーがデバイスのロックを解除できます。ただし、[対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)] の設定が 0 より大きい値の場合、キャッシュされたユーザーの資格情報がシステムのロック解除に使用されます。
デバイスは、認証されたすべてのユーザーの資格情報を (メモリでローカルに) キャッシュします。デバイスは、これらのキャッシュされた資格情報を使用して、コンソールのロックを解除しようとするユーザーを認証します。
キャッシュされた資格情報を使う場合、アカウントに最近加えられた変更 (ユーザー権利の割り当て、アカウント ロックアウト、またはアカウントの無効化) は考慮されないか、この認証プロセスの後で適用されます。つまり、ユーザーの権利が更新されないだけではなく、さらに重要なことには、無効化されたアカウントを使用してシステムのコンソールのロックを解除することができます。
[対話型ログオン: workstation のロック解除にドメイン コントローラーの認証を必要とする] を [有効] に設定し、[対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)] を 0 に設定することをお勧めします。デバイスのコンソールがユーザーによってロックされているとき、またはスクリーン セーバーのタイムアウトによって自動的にロックされているとき、コンソールのロックを解除できるのは、ユーザーがドメイン コントローラーで再認証できる場合のみです。ドメイン コント ローラーが使用できない場合、ユーザーはデバイスのロックを解除できません。
設定可能な値
有効
無効
未定義
ベスト プラクティス
- [対話型ログオン: workstation のロック解除にドメイン コントローラーの認証を必要とする] を [有効] に設定し、[対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)] を 0 に設定します。デバイスのコンソールがユーザーによってロックされているとき、またはスクリーン セーバーのタイムアウトによって自動的にロックされているとき、コンソールのロックを解除できるのは、ユーザーがドメイン コントローラーで再認証できる場合のみです。ドメイン コント ローラーが使用できない場合、ユーザーはデバイスのロックを解除できません。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
なし
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
既定では、デバイスは、認証されるすべてのユーザーの資格情報をメモリでローカルにキャッシュします。デバイスは、これらのキャッシュされた資格情報を使用して、コンソールのロックを解除しようとするユーザーを認証します。キャッシュされた資格情報を使う場合、アカウントに最近加えられた変更 (ユーザー権利の割り当て、アカウント ロックアウト、またはアカウントの無効化) は考慮されないか、アカウントが認証された後で適用されます。ユーザーの権利が更新されず、無効化されたアカウントを使用してデバイスのコンソールのロックを解除することができます。
対策
[対話型ログオン: workstation のロック解除にドメイン コントローラーの認証を必要とする] 設定を [有効] に構成し、[対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)] 設定を 0 に構成する。
潜在的な影響
デバイスのコンソールがユーザーによってロックされているとき、またはスクリーン セーバーのタイムアウトによって自動的にロックされているとき、コンソールのロックを解除できるのは、ユーザーがドメイン コントローラーで再認証できる場合のみです。ドメイン コント ローラーが使用できない場合、ユーザーはワークステーションのロックを解除できません。[対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)] 設定を 0 に構成した場合、ドメイン コント ローラーが利用できないユーザー (モバイル ユーザーまたはリモート ユーザーなど) はログオンできません。